IBM segnala una nuova campagna malware. Presi di mira i dati bancari. Ecco tutti i dettagli.

Recentemente, i ricercatori di sicurezza di IBM hanno individuato una pericolosa campagna malware che ha compromesso i dati bancari di oltre 50.000 utenti appartenenti a 40 istituti finanziari in Nord America, Sud America, Europa e Giappone. Iniziata a marzo del 2023, la campagna ha coinvolto attori di minaccia che hanno pianificato l’attacco fin dal dicembre del 2022, registrando domini utilizzati per orchestrare l’operazione.

La tattica principale di questa campagna coinvolge il caricamento di script dannosi direttamente dai server di comando e controllo degli attaccanti. Questi script mirano a una struttura di pagina web comune tra molti istituti bancari, permettendo agli aggressori di intercettare le credenziali utente e i codici monouso dei sistemi di autenticazione a due fattori. Con queste informazioni, gli attaccanti possono accedere agli account, alterare le impostazioni di sicurezza e compiere transazioni non autorizzate.

L’attacco inizia con l’infezione di malware sui dispositivi delle vittime, utilizzando tecniche comuni di malvertising o phishing. Quando le vittime visitano un sito compromesso o controllato dagli aggressori, il malware inietta un tag script nelle pagine web, puntando a uno script esterno ospitato su sistemi controllati dagli attaccanti. Lo script viene quindi caricato nel browser della vittima, consentendo la modifica dei contenuti visualizzati, il furto di credenziali e l’intercettazione di codici monouso inviati via SMS.

IBM sottolinea l’insolita e subdola tecnica di iniezione indiretta utilizzata, che elude l’analisi statica grazie all’utilizzo di uno script di caricamento apparentemente neutro. Inoltre, questi script si nascondono dietro CDN di JavaScript legittimi, rendendo difficile il rilevamento automatico della minaccia. Il malware verifica anche la presenza di soluzioni di sicurezza, complicando ulteriormente la sua individuazione.

Gli script operano dinamicamente seguendo le istruzioni del server di comando e controllo, adattandosi alle condizioni del dispositivo compromesso. Questa minaccia è stata collegata al trojan bancario DanaBot, attivo dal 2018 e recentemente diffuso attraverso malvertising su Google Search, promuovendo installer falsi di Cisco Webex.

IBM avverte che questa minaccia persiste attualmente, richiedendo una vigilanza particolare durante l’uso di applicazioni e portali di mobile e online banking. La complessità e l’aggressività di questa campagna malware la rendono un pericolo significativo per la sicurezza informatica.

Scritto da Michele Bellotti